Top-Themen

Aktuelle Themen (A bis Z)

Administrator.de FeedbackApache ServerAppleAssemblerAudioAusbildungAuslandBackupBasicBatch & ShellBenchmarksBibliotheken & ToolkitsBlogsCloud-DiensteClusterCMSCPU, RAM, MainboardsCSSC und C++DatenbankenDatenschutzDebianDigitiales FernsehenDNSDrucker und ScannerDSL, VDSLE-BooksE-BusinessE-MailEntwicklungErkennung und -AbwehrExchange ServerFestplatten, SSD, RaidFirewallFlatratesGoogle AndroidGrafikGrafikkarten & MonitoreGroupwareHardwareHosting & HousingHTMLHumor (lol)Hyper-VIconsIDE & EditorenInformationsdiensteInstallationInstant MessagingInternetInternet DomäneniOSISDN & AnaloganschlüsseiTunesJavaJavaScriptKiXtartKVMLAN, WAN, WirelessLinuxLinux DesktopLinux NetzwerkLinux ToolsLinux UserverwaltungLizenzierungMac OS XMicrosoftMicrosoft OfficeMikroTik RouterOSMonitoringMultimediaMultimedia & ZubehörNetzwerkeNetzwerkgrundlagenNetzwerkmanagementNetzwerkprotokolleNotebook & ZubehörNovell NetwareOff TopicOpenOffice, LibreOfficeOutlook & MailPapierkorbPascal und DelphiPeripheriegerätePerlPHPPythonRechtliche FragenRedHat, CentOS, FedoraRouter & RoutingSambaSAN, NAS, DASSchriftartenSchulung & TrainingSEOServerServer-HardwareSicherheitSicherheits-ToolsSicherheitsgrundlagenSolarisSonstige SystemeSoziale NetzwerkeSpeicherkartenStudentenjobs & PraktikumSuche ProjektpartnerSuseSwitche und HubsTipps & TricksTK-Netze & GeräteUbuntuUMTS, EDGE & GPRSUtilitiesVB for ApplicationsVerschlüsselung & ZertifikateVideo & StreamingViren und TrojanerVirtualisierungVisual StudioVmwareVoice over IPWebbrowserWebentwicklungWeiterbildungWindows 7Windows 8Windows 10Windows InstallationWindows MobileWindows NetzwerkWindows ServerWindows SystemdateienWindows ToolsWindows UpdateWindows UserverwaltungWindows VistaWindows XPXenserverXMLZusammenarbeit

Angreifer in unserem Netzwerk

Mitglied: 7213

7213 (Level 1)

07.12.2004, aktualisiert 14.12.2004, 6996 Aufrufe, 7 Kommentare

Ein bislang unbekannter hat sich MAC-Adressen von Rechnern in unserem Netzwerk verschafft und setzt diese nun zum Surfen ein!

Hallo!


Ich wohne in einem Studentenwohnheim, in dem jedes Zimmer ein Internetanschluss hat.
Alle Rechner hängen soweit ich weiß an einem Router.
Jeder von uns hat eine Traffic- Beschränkung von 2 GB pro Monat.
Nun ist es meinem Nachbarn passiert, dass er bereits am 6.Dez gesperrt wurde, weil er angeblich fast 4 GB Traffic verursacht hat.
Der Nachbar ist aber anscheinend unschuldig, weil ein (hoffentlich noch) unbekannter Dritter
sich seine Netzwerkadresse besorgt hat (per "arp"? Ergab jedenfalls meine Google-Suche),
und dann auf "seine Kosten" gesurft hat.
Anscheinend gibt es Programme, die dem Router eine falsche MAC-Adresse vorgaukeln können.

Jetzt habe ich verschiedene Fragen:

- Wie kann ich meinen (bzw. die anderen Studenten ihre) Rechner vor dem Auslesen der
Hardwareadresse schützen? Ich habe die Agnitum Firewall. Ist das ausreichender Schutz?

- Kann man den Angreifer irgendwie am Nutzen einer "geklauten" Mac-Addy hindern?

- Und vor allem: Wie kann man dem Angreifer auf die Schliche kommen??


Vielen Dank für Eure Antworten!

Grüße,
Sebastian aka Hypersim


P.S.: Vielleicht wäre noch wichtig zu erwähnen, dass der Angreifer von innerhalb des
Netzwerkes zu kommen scheint.
Mitglied: 6035
07.12.2004 um 10:43 Uhr
Boah... Harter Tobak!!!
Das ARP-Protokoll nutzen einige Tools von Linux um z.B ein "man-in-the-middle-Attack" durchzuführen(ich denke er hat sich auf den Router gelegt), so kann man den Datenstrom abhören und eventuelle Passwörter (die meist unverschlüsselt übers Netz gehen) auslesen. Ich denke, es wird bei euch nicht anhand der Mac-Adresse die Volumenbegrenzung kontrolliert sondern viel eher anhand des Anmeldenamens in Verbindung mit dem Passwort, oder musstet ihr eure Mac angeben, als ihr euch "registriert" habt, oder müsst ihr bekanntgeben, wenn ihr eure Netzwerkkarte tauscht?

Sprecht mal mit eurem Netzwerkadmin, ob es möglich ist, die Anmeldung z.B über das https-Protokoll durchzuführen...
Den Missbrauch durch diesen Angreifer kann man denke ich im moment nicht verhindern.
Bitte warten ..
Mitglied: 6035
07.12.2004 um 10:50 Uhr
wie man ihm auf die schliche kommen kann??? Schlagt ihn mit seinen eigenen Waffen...
Überwacht den Netzwerkverkehr, wenn von einer Mac-Adresse nur EIN ARP-Paket kommt (ARP kommt immer im Doppelpack) dann habt ihr seine Mac- und IP-Adresse und vielleicht auch seinen Anmeldenamen und Passwort, dann sollte es ein leichtes sein, ihn ausfindig zu machen... Tools werde ich hier nicht benennen, dazu gibt es Google
Bitte warten ..
Mitglied: 7217
07.12.2004 um 11:08 Uhr
Hallo!

Tach auch.

Ich wohne in einem Studentenwohnheim, in dem
jedes Zimmer ein Internetanschluss hat.

Wie vielerorts modern.

Alle Rechner hängen soweit ich
weiß an einem Router.

Ok.

Jeder von uns hat eine Traffic-
Beschränkung von 2 GB pro Monat.

Vernünftig.

Nun ist es meinem Nachbarn passiert, dass er
bereits am 6.Dez gesperrt wurde, weil er
angeblich fast 4 GB Traffic verursacht hat.

Sowas soll mal vorkommen, hört man.

Der Nachbar ist aber anscheinend unschuldig,
weil ein (hoffentlich noch) unbekannter
Dritter
sich seine Netzwerkadresse besorgt hat (per
"arp"?

Technisch möglich. Ich würde jedoch zunächst das System mal auf Viren, Würmer und Trojaner untersuchen. Oft verursachen diese Gesellen nämlich viel Traffic, wenn sie sich ungehindert verbreiten können.

Ergab jedenfalls meine
Google-Suche),
und dann auf "seine Kosten"
gesurft hat.
Anscheinend gibt es Programme, die dem
Router eine falsche MAC-Adresse vorgaukeln
können.

Sowas kann jeder bessere Netzwerkkartentreiber. Man braucht z.B. unter Linux/Unix nur beim ifconfig-Befehl die MAC-Adresse des Devices anzugeben und fertig.

Jetzt habe ich verschiedene Fragen:

- Wie kann ich meinen (bzw. die anderen
Studenten ihre) Rechner vor dem Auslesen
der
Hardwareadresse schützen?

Garnicht.

Ich habe die
Agnitum Firewall. Ist das ausreichender
Schutz?

Absolut nicht. Firewalls schützen dich vor solchen Dingen überhaupt nicht. Vergiss alles, was du bisher über solche Desktop-Firewalls gehört hast und versuche herauszubekommen, was eine Desktop-Firewall tatsächlich zu leisten vermag.

- Kann man den Angreifer irgendwie am Nutzen
einer "geklauten" Mac-Addy
hindern?

Ja, indem man die Netzwerknutzung an weitere Dinge koppelt.

- Und vor allem: Wie kann man dem Angreifer
auf die Schliche kommen??

Der Router sollte in den Logfiles vermerkt haben, welche IP-Adresse wann an welchem Port aktiv war. Die hoffentlich vorhandene Netzwerkdoku gibt dann Auskunft darüber, an welchem Port welche Datendose angeschlossen wurde und ein Gebäudeplan sagt dir dann, welche Datendose in welchem Raum zu finden ist.

Anhand dieser Daten lässt sich der "Dieb" lokalisieren.

Vielen Dank für Eure Antworten!

Gern geschehen.

Grüße,
Sebastian aka Hypersim


P.S.: Vielleicht wäre noch wichtig zu
erwähnen, dass der Angreifer von
innerhalb des
Netzwerkes zu kommen scheint.

Von ausserhalb wäre auch ein wenig schwieriger...

Aber ich wollte noch kurz darauf eingehen, welche Mechanismen man zusätzlich einsetzen kann, um sowas zu vermeiden:

Einsatz von VPN über eine verschlüsselte Verbindung (IPSec beispielsweise):

hier ist jedem Benutzer im Netzwerk erstmal nur der Zugriff auf den VPN-Server gestattet, an dem er sich mit einem entsprechenden VPN-Client authentifizieren muss (Benutzername+Passwort z.B.). Diese Authentifizierung findet verschlüsselt statt, was ein Ausspähen der Passwortdaten erschwert. Erst nach erfolgreichem Aufbau eines solchen VPN-Tunnels kann der Benutzer sich dann im Rahmen der Netzpolicy "unbeschränkt" weiterbewegen im Netz.

Das wäre in meinen Augen für euer Wohnheim genau das, was ihr wollt! Setze dich doch mal mti dem Rechenzentrum deiner Universität in Verbindung, ich bin mir sicher, dass diese ein Lösungkonzept parat haben!

Gruß, Mupfel
Bitte warten ..
Mitglied: 7213
07.12.2004 um 11:24 Uhr
Vielen Dank erstmal, für Eure Antworten!

Zu der Netzwerkanmeldung wäre vielleicht noch folgendes zu sagen:
Wir autentifizieren uns nur und ausschließlich über unsere MAC- Adresse.
Die mussten wir bei der Anmeldung im HRZ angeben.
Das heißt z.B., dass beim Wechsel der Netzwerkkarte man die HW-Adresse
in der Liste ändern lassen muss (hab ich schonmal gemacht). Ansonsten
geht das Internet nicht.
Und: Es gibt KEINE Passwort- oder Userabfrage!!

Was ich auch recht heftig finde: Das Rechenzentrum hat meinen Nachbarn
mit den sinngemäßen Worten abgespeist:
"Tja, Pech gehabt, jeder muss sich vor solchen Attacken selber schützen!"

Ist dies denn aber nicht Aufgabe des Rechenzentrums? Zumal ein Schutz
durch Firewalls nicht gegeben ist??

Viele Grüße,
Sebastian
Bitte warten ..
Mitglied: 2795
13.12.2004 um 14:42 Uhr
Anmerkung zu @praktikant.

Das "ARP-Spoofing" ist nur innerhalb des gleichen Sub-Netzes möglich - soweit ich weiss.
Was im Umkehrschluss bedeutet, dass der "Angreifer" nicht von aussen kommt.

Kerl
Bitte warten ..
Mitglied: 6035
14.12.2004 um 12:52 Uhr
Hab ich was anderes Behauptet?
Bitte warten ..
Mitglied: 2795
14.12.2004 um 14:42 Uhr
@Praktikant
Hab ich was anderes Behauptet?

Nö, aber ich dachte es wäre gut als Ergänzung.

Ansonsten war dein Beitrag verdammt gut.

Kerl
Bitte warten ..
Ähnliche Inhalte
PHP

Array aus Datenbankabfrage zusammenfassen uns sortieren

gelöst Frage von TheAlexPHP8 Kommentare

Hallo Liebe Administrator.de Community, Ich stehe vor einem Problem das Array aus meiner Datenbankabfrage zusammenzufassen und sortiert ausgeben zu ...

Windows Server

Lohnt sich eine Domäne für uns?

Frage von BowsetteWindows Server15 Kommentare

Hallo, ich arbeite in einem kleinen Unternehmen mit mehr als 5 und weniger als 10 Mitarbeitern, also Small Business ...

Erkennung und -Abwehr

SPAM von uns oder nicht?

Frage von dafdagErkennung und -Abwehr3 Kommentare

Hallo zusammen, ich werde noch wahnsinnig. Mittlerweile bin ich schon so verunsichert, dass ich nichts mehr verstehe. Ich hoffe ...

Windows Server

Macht ein Server bei uns Sinn?

Frage von SouthtownWindows Server12 Kommentare

Hallo, wir sind ein kleines Unternehmen. Haben 1 "Server", 5 Clients (Windows) und 8 Mitarbeiter. Sind zum teil Teilzeitstellen, ...

Neue Wissensbeiträge
Internet

(NetzDG) .und Ihr heult über Limux in München, schon gehört, was die SPD vor hat?

Information von certifiedit.net vor 17 StundenInternet7 Kommentare

Na dann, Gute Nacht Bürgerrechte. Wofür dann eigentlich die DS-GVO? Ich bezeichne mich als Polizist und hol mir einfach ...

Sicherheit

Chrome 79 übermittelt eingegebene Kennwörter nach Hause

Information von DerWoWusste vor 3 TagenSicherheit15 Kommentare

Ab sofort warnt Chrome standardmäßig Nutzer davor, wenn aus Leaks bekannte Passwörter zum Einsatz kommen. Beim Besuch einer Website, ...

Viren und Trojaner
Trend Micro WFBS 10 SP1 Patch 2185
Tipp von Abramelin vor 3 TagenViren und Trojaner3 Kommentare

Hi, Hab gerade gesehen das Patch 2185 für TM WFBS 10 SP1 erschienen ist! Werde mal Morgen den Patch ...

Viren und Trojaner

Neuer Virus lässt Windows im abgesicherten Modus starten

Tipp von transocean vor 3 TagenViren und Trojaner7 Kommentare

Moin, lest selbst. Grüße Uwe

Heiß diskutierte Inhalte
Windows 7
Windows 7 - Ein DSL Speedtest - Mehrere Browser - Unterschiedliche Ergebnisse
gelöst Frage von AusAltwirdNeuWindows 725 Kommentare

Hallo zusammen, mein PC hat zwei Rj45 Anschlüsse. Beide sind auf Gigabit Vollduplex eingestellt. An beiden Anschlüssen erreiche ich ...

LAN, WAN, Wireless
UniFi AP AC Pro wenig Durchsatz
Frage von matze2090LAN, WAN, Wireless10 Kommentare

Hallo, ich habe mir zwei UniFi AP AC Pros gekauft, da sie eine sehr gute Rezzesion haben. Ich habe ...

Festplatten, SSD, Raid
Klonen von dynamischen Laufwerk auf SSD nicht möglich
Frage von LordNicon79Festplatten, SSD, Raid8 Kommentare

Hallo zusammen, ich bin grad das erste Mal auf ein Problem gestoßen was mich ehrlich gesagt erstaunt und wo ...

LAN, WAN, Wireless
Netzwerkswitch (ohne Lüfter) mit WLAN
Frage von Ghost108LAN, WAN, Wireless8 Kommentare

Hallo zusammen, suche für mich privat nach einem Switch (lüfterlos) welche auch WLAN ausstrahlt. Mindestens 12 LAN Ports. Könnt ...